即將進入 2020 年,雖然大家都能普遍認知到,組織必須採取相當的保護措施,以期降低各種資安風險,但很少組織會針對來自於組織內部產生的威脅做好準備。內部威脅是指來自公司自己的員工、承包商、供應商或終端使用者,可能是故意、惡意或疏忽的操作而產生的安全風險。通常絕大多數的IT 和安全專業從業人員中,都能感受到內部威脅是整個公司IT環境的可能最大弱點,無論那些發生違規行為是惡意的,還是疏忽所致的。
這些行為包括了最簡單的操作,如公司員工使用筆電按了電子郵件中的網路釣魚連結;到可能的實體犯罪行為,如組織內成員與不法組織勾結共謀。相比於外部威脅所造成的損失,內部威脅的損失要大得多。但與此不成比例的是依傳統預算編列習慣,外部威脅防護的預算,要遠高於內部威脅的解決方案。
為了迎頭面對內部威脅,是時候要更明智地,去瞭解最大威脅來自何處。我們拆解分析了在內部威脅方面的相關焦點領域;這些最好要列在組織中的必要解決清單中。
- 準備好預防惡意員工的活動
據Gartner 的一項分析,在資安事故中有64%可歸咎於員工疏忽的操作行為。這些員工會遵守一般政策和法規,系統監視上甚至會判斷成無明顯風險行為,但可能會由於簡單的錯誤操作,或不當的系統、應用程式上的設定而導致事故。當然疏忽的原因可能來自於缺乏安全意識或專業不足。但實際上也有部分的狀況不能歸咎於此類,以釣魚連結或惡意附件為例;開啟附件及點擊連結,很可能是執行業務工作上所必需,跟資訊安全意識無關。
- 充分了解不滿員工的風險
不滿員工可能是組織代價最高昂的內部威脅之一。Gartner 的一項分析發現,29% 的員工在辭職、非自願性離職或被解雇後,出於財務利益而偷竊圖利,然而只有 9% 的員工則純粹為了洩憤而破壞IT資訊與環境。相異的動機導致行為模式可能大不相同:一些員工可能開始隨意搜尋資訊,而非針對特定具體目標。而另一些員工可能會在職務異動通知之後,立即有目的性的竊取資料;是將獲取個人利益,甚至是售予競爭對手。更危險的可能來自資訊安全團隊,在一項對320名IT專業人士進行的調查中,十分之一的受訪者表示,在離職前他們會盡可能多的帶走公司資訊。 - 準備好面對內外勾結的可能
串通外部人士意圖獲取經濟利益或某種個人成就;如交易公司機密以獲得更好的報酬、利用取得的內部資訊獲得升遷。一個真實案例是,副廠長利用通訊軟體記錄,成功取得廠長職位。但內部人員在存取方式上可能相當複雜,可能會細水長流逐步提取資料,以避免被傳統的網路監控工具檢測到。在比例上,雖然與惡意外部人士合作的內部人員極少;但因其具備目的性,所造成的財損卻是最大的,故內部串通外敵仍然是組織的重大威脅。除了資訊系統上的補強,這更需要從任用任職程序上面,就得開始管理追蹤。一個台灣網通業的真實案例,在公司的授意之下,網卡驅動程式的研發人員,去對手公司短期任職,取的成果後回到原公司。堪比間諜片一般的劇情,我們是否具備了足夠的跨領域專業,以分析這類內部威脅風險?
所有組織都必須考慮預防措施,並在可能的情況下實施,以減輕內部威脅。首先,必須建立一個全面的網路安全意識教育方案,對所有進入公司的人員進行教育,並通過年度內各種進修培訓,促進現有人員對資訊安全的持續認識。定期培訓鼓勵使用者,透過各種資訊系統使用處理情境案例,設計用最佳實務做法。包括與各種社交網路攻擊方法有關的教育,對新的和已知的威脅保持警惕。這些案例應包括試圖誘使使用者點擊連結和執行程式導致洩露敏感資訊,無論是通過電話、電子郵件、社交媒體還是其他方式。
除了對人的教育,搭配制定全面的資料外洩防護 (DLP) 策略,防止資料洩露或遺失。為了落實支援這個策略,對於有意或無意的資訊外洩手段控制至關重要。可以利用 DLP 軟體實現來檢測、稽核和操作、控制對外部資訊的傳輸,及未經授權的儲存設備使用等手段。
就以人性這方面來看,引用FBI 2013年的Combating the Insider Threat at the FBI: Real World Lessons Learned, Patrick Reidy 所發表的演講內容,討論前輩先進的二個論點:
- 90% of problems are not technical.
- Prediction of rare events (i.e. insider threats) may not be possible
在嘗試利用已知方案消解內部威脅時,並不存在一種完全有效的方法;因為內部威脅牽涉了一大部分的人性問題,並非單單以資訊系統就可以解決問題。對於整個資訊系統運作,其產生的各項記錄繁多,內部威脅的活動只佔極稀少的部分;在極度缺乏不正常活動資訊量的情況下,進行行為預測極不可靠。這並非讓我們不去採取預防行動,而是利用偵測與阻止不當行為(而非預測)來達到目的。透過存取記錄或自動化工具側錄員工活動,監視工作場所的習慣和行為,可以稍稍從威嚇、稽核階段過度到偵測、阻止上邁進一步,這也是我們一直努力的方向。